Auditoría de Sistemas de

Información II

Fases de la auditoria
PLAN DE AUDITORIA
• El programa de Auditoria es: conjunto de una o más auditorías planificadas para
un periodo de tiempo determinado y dirigidas hacia un propósito específico
• Mientras el Plan de Auditoria es: descripción de las actividades y de los detalles
acordados de una auditoría
• En pocas palabras, el programa lo generas para determinar "¿qué vas auditar -
alcance: procesos, áreas, claúsulas aplicables, etc...?"; ¿cuándo vas auditar?;
"¿cuánto durará la auditoria?" y "¿por qué/con qué objetivo vas auditar?";
¿quiénes serán los auditores?
• Mientras que el Plan establece ¿qué vas hacer en una auditoria en particular?
(agenda flexible, horarios aproximados, criterios de la auditoria, etc.).
• Algunas Organizaciones mezclan "ambos aspectos" y esto en si no es un
problema.
son:
• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
El Programa de Auditoría, es la tarea preliminar trazada por el Auditor y que
se caracteriza por la previsión de los trabajos que deben ser efectuados en
cada servicio profesional que presta, a fin de que este cumpla íntegramente
sus finalidades dentro de la Normas científicas de la Contabilidad y las
Normas de Auditoría.
una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
Se puede señalar que las fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
• as fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
La Auditoria Informática
Fase I: Conocimientos del Sistema
• 1.1. Aspectos Legales y Políticas Internas.
• Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su
evaluación.
1.2. Características del Sistema Operativo.
• Organigrama del área que participa en el sistema.
• Manual de funciones de las personas que participan en los procesos del sistema.
• Informes de auditoría realizadas anteriormente.
1.3. Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema.
• Funcionarios (usuarios) autorizados para administrar la aplicación.
• Equipos utilizados en la aplicación de computadora.
• Seguridad de la aplicación (claves de acceso).
• Procedimientos para generación y almacenamiento de los archivos de la aplicación.
La Auditoria Informática
Fase II: Análisis de transacciones y recursos
2.1. Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores.

2.2. Análisis de las transacciones

Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilitan la visualización del funcionamiento y recorrido
de los procesos.

2.3. Análisis de los recursos

Identificar y codificar los recursos que participan en el sistema.

2.4. Relación entre transacciones y recursos.

• as fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

La Auditoria Informática
Fase III: Análisis de riesgos y amenazas
3.1. Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
• as fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

La Auditoria Informática
3.2. Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones

3.3. Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la
observación de los recursos en su ambiente real de funcionamiento.
ases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
Fase IV: Análisis de controle
Medidas de control y seguridad
Pueden existir diversos niveles de seguridad, pero para efectos prácticos se establecerán los
siguientes niveles de seguridad:
1. Nivel Básico
2. Nivel Medio
3. Nivel Alto
Medidas de Seguridad de nivel básico:
o Sistema de Registro de incidentes.
o Relación actualizada de usuarios/recursos autorizados.
o Existencia de mecanismos de identificación y autenticación de los accesos autorizados.
o Restricción solo a los datos necesarios para cumplir cada función.
o Gestión de soportes informáticos con datos de carácter personal.
• Inventariados.
• Con acceso restringido.
o Copias de seguridad semanales.
• as fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

La Auditoria Informática
• Medidas de seguridad de nivel medio, además de lo estipulado para el nivel
anterior:
o Designación de uno o varios responsables de seguridad.
o Auditoría al menos una vez cada dos años.
o Mecanismos para identificación inequívoca y personalizada de los usuarios.
o Limitación de los intentos de acceso no autorizados.
o Medidas de control de acceso físico a los locales.
o Establecimiento de un registro de entradas y salidas de soportes informáticos.
o Establecimiento de medidas para impedir la recuperación indebida de
información contenida en soportes desechados o ubicados fuera de su lugar
habitual.
o Consignación en el registro de incidencias de las operaciones de recuperación
de datos, que deberán ser autorizados por escrito por el responsable del
fichero.
• as fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

La Auditoria Informática
• Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio:
o Los soportes para distribución deberán tener la información cifrada.
o Registro de accesos autorizados y denegados.
o Guardar estos registros durante 2 años.
o Copias de seguridad guardadas en sitios diferentes.
o Transmisiones cifradas.
• Otras medidas de seguridad exigibles a todos los ficheros:
o Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del
nivel de seguridad en modo local.
o El tratamiento de los datos fuera del local será autorizado expresamente por el
responsable del fichero.
o Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel
de seguridad pertinente.
o El responsable del fichero elaborará el documento de seguridad.
o Las pruebas con datos reales seguirán las medidas de seguridad pertinentes. s
fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

La Auditoria Informática
• Medidas de Protección
Entre las más importantes pueden estar las siguientes:
• Análisis de vulnerabilidades
Para la verificación de posibles problemas de seguridad en ordenadores, sistemas
y aplicaciones, lo ideal es utilizar un analizador de vulnerabilidades. Existen
algunos que son excelentes y que ofrecen informes finales que no sólo detallan los
posibles vacíos de seguridad detectados, sino que aconsejan las soluciones a
adoptar. En el mundo Linux, Nessus es un excelente software de código abierto.
Sin embargo, si se prefiere una solución comercial que cuente con el soporte
técnico de un fabricante y una serie de consultorías especializadas, Shadow
Security Scanner constituye una elección idónea, tanto por sus prestaciones como
por su precio contenido.
• fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
• Cortafuegos
• Una vez obtenido el informe y solucionados los posibles vacíos de seguridad, debe
acometerse la implementación de algún cortafuegos. Aquí el abanico de elección es
amplio. En el espectro de firewalls de nivel 1, tanto en software como en hardware,
encontramos a Checkpoint y a Cisco. Sin embargo, sus precios pueden resultar
inasumibles para las pymes y pequeñas empresas, con lo que éstas suelen dirigirse a
aplicaciones como McAfee Firewall, Noton Internet Security y, en algunos casos, Zone
Alarm.
• fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
• Copias de seguridad
• La elaboración de políticas de seguridad es algo sencillo. Consiste en saber cómo actuar
en un plan de contingencia, redactando un documento para ello. Por ejemplo, qué
hacer en caso de pérdidas de datos, dónde se localizan las copias de seguridad, y cuáles
son las contraseñas para acceder a cada uno de los ordenadores de una red. Este
Manual de Calidad debe estar redactado en su totalidad y puesto a salvo en un
archivador bajo llave. Así, en caso de necesidad, el manual es consultado en aquello
que se precisa, y la rapidez de actuación conlleva a la restauración inmediata ante un
desastre.
• Dicho esto, sobra decir que es necesario establecer una política de copias de seguridad.
Aquí es donde el abanico de aplicaciones es inmenso. Acronis True Image es una
solución que genera imágenes de disco completas e incrementales, y que permite la
programación de tareas. El acceso a un menú restaura una imagen previa, sin arrancar
el sistema operativo, dejándolo todo tal y como estaba.
• El testeo de modems y la seguridad inalámbrica deberían dejarse en manos de unos
auditores de seguridad informática o para el administrador de sistemas.

• fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

La Auditoria Informática

•fases
son:
de una auditoría informática

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
La Auditoria Informática
• Antivirus
• En la parte final de la pirámide se encuentran los antivirus. Existen tantos que uno
nunca saber por cuál decantarse. Lo ideal es que el antivirus se encuentre centralizado
y, si es posible, integrado con el propio protocolo que cubre. Por ejemplo, puede
utilizarse un antivirus de servidor y, además, uno integrado con el propio servidor de
correo, ya que constituye la principal vía de contagio.
• La oferta es variada. Todo el mundo conoce un antivirus u otro, gracias a su divulgación
a través de revistas especializadas. Sin embargo, Avast!, es un antivirus nada conocido
en el mercado español, pero que opera en versiones servidor para Windows y Linux,
estaciones de trabajo y PDA. Por descontado, también fases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

•Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
•Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones exte
•Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
•Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

TIPOS DE AUDITORIA INFORMATICA

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas,
etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los
flujogramas.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,
confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y
en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas
(arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de
información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los
sistemas de comunicación.
a Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
se I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

La Auditoria Informática
• la técnica de la auditoría, siendo por tanto aceptables equipos
multidisciplinarios formados por titulados en Ingeniería Informática
e Ingeniería Técnica en Informática y licenciados en derecho
especializados en el mundo de la auditoría.
• Fase I: Conocimientos del Sistema
• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
MEDIDAS DE INFORMATICA
Medidas de Contingencia: Mecanismos utilizados

•fases
para contrarrestar la pérdida o daños de la

más
de una auditoría
información, bien sea intencionales informática
o accidentales. La
utilizada es la Copia de Seguridad (Backup), en la
son:
cual se respalda la información generada en la
empresa. Informática II. Decanato de Administración
Fase I: Conocimientos del Sistema
y• Contaduría.
• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
La Auditoria Informática
La Auditoria Informática

•fases
son:
de una auditoría informática

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
La Auditoria Informática
La auditoría informática sirve para mejorar ciertas características en la empresa como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
• ases de una auditoría informática son:

• Fase I: Conocimientos del Sistema

• Fase II: Análisis de transacciones y recursos

• Fase III: Análisis de riesgos y amenazas

• Fase IV: Análisis de controles

La Auditoria Informática
• La auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes. de una auditoría informática son:

• El Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los mismos. Los mecanismos
de control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.